قوانین جدید گوگل برای ایمن­ سازی توسعه افزونه ­ها

افزونه­ های مرورگر، برنامه­ های کوچکی هستند که عملکرد آن را بهبود می ­بخشند. اما مشکل آنجاست که برخی افزونه ها داده ­ها را به سرقت برده و وارد حریم خصوصی کاربران می­ شوند. کروم یک مرورگر قابل اطمینان در اکثر سیستم­ عامل­ هاست.  این قابلیت اطمینان بدین معنی است که با اعطای مجوزها به آن، افزونه قادر به اجرای طیف وسیعی از تغییرات در سیستم عامل خواهد بود و در نتیجه کاربر در برابر کدهای مخرب آسیب­ پذیر می ­گردد.

در گذشته گوگل گام ­هایی را در راستای محدودسازی توانایی­ های افزونه ­ها برداشته است. به عنوان مثال، چندی پیش گوگل ویژگی جدیدی به نام ایزوله سازی سایت را معرفی کرد که در نتیجه آن سرقت اطلاعات از برگه­ های دیگر مرورگر توسط کدهای مخربی که توسط یک سایت بارگذاری شده است، مشکل شد. همچنین، این افزونه مدیران را قادر ساخت که افزونه­ ها را بر اساس نوع مجوزهایی که درخواست می­ کنند (مانند دسترسی به وب­کم یا کلیپ­ برد) متوقف کنند.

مجوز به ازای هر سایت

بر طبق اعلام گوگل سطح محدودیت­ ها افزایش یافته است. در کروم 70، کاربران قادر خواهند بود تا مجوزهای یک افزونه را به داده ­ها و خدمات یک سایت بصورت مورد به مورد تعیین کنند. اگر کاربران در گذشته به افزونه کروم مجوز خواندن و تغییر داده­ های سایت را اعطا کرده باشند، افزونه از آن مجوزها می­ تواند در تمامی سایت ­ها استفاده کند. این تغییرات به کاربران اجازه می­ دهد برای اعطای دسترسی افزونه ­ها به سایت ها، انتخاب شده ­تر عمل کنند.

درحالیکه شما ممکن است از یک افزونه برش صفحه برای خواندن اطلاعات از چند سایت خبری که بازدید کرده ­اید استفاده کنید، احتمالا نمی­ خواهید که این افزونه به اطلاعات آنلاین بانکی شما دسترسی داشته باشد. کروم 70 مجوزهای دسترسی به میزبان را به سایت­ های ویژه­ای که توسط کاربر تایید شده­ اند محدود می­ کند، و یا آن را می ­توان بگونه ­ای تنظیم کرد که در زمان درخواست بازدید از هر سایت، درخواست تایید دسترسی داشته باشد.  کاربران همچنین می­ توانند در صورتی که می­خواهند بصورت پیش­ فرض مجوز دسترسی به تمامی سایت­ ها را اعطا کنند.

ممنوعیت اجرای کدهای مبهم

گوگل اجرای کدهای مبهم را نیز محدود کرده است. کد جاوا اسکریپتی که برای گمراه کردن دیگران از درک عملکرد آن بصورت نامفهوم نوشته شده، می­ تواند توسط یک متخصص مهندسی معکوس تحلیل شده و عملکرد آن تعیین گردد.

کدهای نامفهوم به مهاجمینی مانند سارقان ارزهای امنیتی، امکان اجرای کدهای مخرب در پوشش دیگر فعالیت­ها را می دهد. از این پس، تیم کروم با این مشکل مقابله خواهد کرد و نه تنها تمامی افزونه­ های جدید باید دارای کدها قابل فهم باشند، بلکه افزونه­ های جاری نیز که دارای کدهای نامفهوم هستند هم تا اوایل ژانویه زمان خواهند داشت تا مشکل را اصلاح نموده و در لیست افزونه­ ها باقی بمانند.

بگفته گوگل، امروزه بیش از 70% افزونه­ هایی که از سیاست­ ها تخطی می­ کنند حاوی کدهای مخرب هستند. در همین حال، از آنجا که مبهم سازی اغلب با انگیزه اختفای عملکرد صورت می ­پذیرد، فرآیند بررسی کدها بسیار پیچیده می ­شود. از این پس، چنین کدهایی برای بررسی پذیرفته نمی ­شوند.

احراز هویت دو عاملی برای توسعه دهندگان افزونه ­ها

گوگل روش دستیابی به حساب­ های کاربری توسعه­ دهندگان افزونه ­ها را نیز تغییر داده است. از سال بعد، توسعه دهندگان برای دستیابی به حساب­ های کاربری باید از احراز هویت دو عاملی استفاده کنند. این راه حل برای حفاظت توسعه ­دهندگان افزونه­ های محبوب در برابر سرقت حساب­ های کاربری آن ها و در نتیجه ارائه افزونه های دستکاری شده و مخرب در نظر گرفته شده است.

سیاست­ های در نظر گرفته شده، در راستای کاهش تهدیدات از سوی افزونه­ ها طراحی گردیده است. سال گذشته یک افزونه محبوب به نام Web Developer for Chrome توسط مهاجمان به سرقت رفت. افزونه دیگری نیز به نام Desbloquear Conteúdo از ابتدا فعالیت مخرب داشت.

تغییرات در سیاست افزونه­ ها را می­ توان به عنوان نسل سوم سیاست­ های گوگل در نظر گرفت که در پی آن تولید و انتشار افزونه­ های نا امن بسیار مشکل خواهد شد. این تغییرات شامل محدودسازی دامنه واسط­ه ای برنامه ­های کاربری (API) نیز می­ شود و توسط آن توسعه­ دهندگان می ­توانند به افزونه ­ها دست­یابی انتخاب­ شده­ تری را به صفحات وب اعطا کنند. پیاده­ سازی سیاست­ های جدید از آغاز سال جدید میلادی خواهد بود.

تاریخ: 3/10/2018 – 11/7/1397

منبع: nakedsecurity.sophos.com

فهرست